12月1日,由国产服务器厂商牵头起草的我国首部服务器安全标准正式实施。这部标准究竟要解决什么问题?对利益相关方将产生哪些影响?又会带来哪些长远的变革?
近年来,在网络和信息安全领域,DDoS(分布式拒绝服务攻击)日益成为最显著的攻击方式,其涉及范围之广和攻击程度之深都是空前的。通常情况下,黑客会在这种攻击中首先控制一台根服务器,进而以这台服务器为据点,控制子服务器作为新的根服务器……如此衍生形成大批量的服务器和终端机器,从而实施大规模的安全攻击,而一旦这种攻击事件爆发,对源头的追溯将是非常棘手的一个难题。
据国家计算机网络安全应急技术处理协调中心发布的报告显示,仅2007年上半年,就发现了8361个境外控制服务器对我国内地的主机实施控制。
在严峻考验的现实之下,12月1日,由国家标准化管理委员会和国家质量监督检验检疫总局联合颁布并开始实施的国标GB/T21028-2007《信息安全技术·服务器安全技术要求》便愈加受到关注。作为我国信息安全战略部署的重要组成部分,它的到来究竟意味着什么?
系统地权衡服务器安全
记者了解到,该国标是我国第一个服务器安全标准,既填补了国内在服务器安全技术领域的空白,也是落实国家信息安全等级保护制度的重要执行文件。该标准体系由国产服务器厂商浪潮牵头制定,联想、曙光也同为体系起草的重要成员。
据浪潮派出的标准主要起草人刘刚介绍,我国的信息安全体系呈金字塔结构,塔尖是《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《关于信息安全等级保护工作的实施意见》(公通字[2007]66号)等确定了“等级保护安全体系”这个发展方向的文件和法规;塔基则是根据等级保护安全体系建立的安全技术规范体系,把塔尖的政策法规变成可供执行的技术规范。据了解,此次实施的服务器安全标准规定了服务器所需的安全技术要求,从服务器安全保护等级划分的角度,对设计、生产、制造、选配和使用相关安全等级服务器提出了通用安全技术要求。它的生效和实施,使服务器安全从此有章可循。
在这个标准当中,服务器不再仅仅是个硬件概念,更是一个信息系统,而且是一个软、硬件结合的信息系统。具体而言,它以操作系统和硬件系统为基础,担负着对信息和数据存储、传输、处理和发布的重要任务。因此,这个意义上的服务器既是网络信息的载体,又是信息交换的媒介,这也就是为什么几乎所有网络攻击都直接或间接针对服务器的原因。
刘刚表示,在该标准出台前,我国对服务器安全技术的要求基本上只体现在操作系统、数据库管理系统等单一层面上,没有对整个服务器系统安全性从内在联系上形成统一认识。据悉,在国外,美国、加拿大等国家的分级安全保护制度推进得较早,我国在1999年制定GB 17859-1999 《计算机信息系统安全保护等级划分准则》就曾参考过美国TCSec标准。但刘刚认为,国外大多也只在操作系统、数据库管理系统、应用系统等几个层面单独形成了相关标准和规范,作为对外提供应用服务的整个服务器系统却没有标准和规范,而中国则在这方面走在了世界前列。
谁会受到影响
从信息安全的分级制度来看,《信息安全等级保护管理办法》(公通字[2006]7号)明确规定,信息系统的安全保护等级分为五级,从第一级往上依次为:自主保护级、指导保护级、监督保护级、强制保护级及专控保护级。其中,从第三级开始,信息系统的安全保护等级就适用于涉及国家安全、社会秩序和公共利益的重要信息系统及核心子系统。
此次服务器安全等级的实施,直接影响到的用户就是与国家经济安全直接相关的三级及三级以上的用户单位,如银行、税务、海关等。当然,该服务器安全国标对生产厂商、使用单位和测评机构都具有一定的约束和规范能力。该标准一旦得到贯彻与落实,最终将提高服务器系统的抗攻击能力,从而实现对服务器系统的保护。
由于安全分级是承建单位自己根据指导文件建设,并经公安机关指定的专门测评机构进行评定的,因此服务器安全国标的出台将使这些用户的采购行为逐渐发生变化。为了建设三级以上的信息安全系统,承建单位不仅要按照单项采购的安全标准来选购网络设备,比如操作系统、服务器硬件、防火墙等,还要最终按照出台的服务器安全国标来检验整个系统的安全性。这就将过去割裂的点连成了有机整体,形成了全方位的安全评估。而对于一般企业来说,这个标准出台也同样为它们提供了一整套信息系统安全的评估参考,只是更多是指导性意见,企业采购依然有着充分的自主权,它们可以按照自己所需的安全等级量体裁衣。
服务器安全国标是对软硬结合的系统描述,因此对整个链条上的生产厂商都提出了要求。为了满足这部分安全等级需求,一些特定行业的用户就需要与安全等级要求相匹配的安全产品。比如我们常用的操作系统安全等级为二级,就算是备有完整软硬件的小型机,其安全等级也没有达到三级标准;服务器硬件本身也在硬件防护、安全芯片等方面具有进一步提高安全性能的空间……由此可见,在技术标准具备的可行性与前瞻性局限性下,并非现有技术都能达到标准的要求,这就要求与信息系统相关的设备提供商遵从这一标准来进行技术升级。
记者了解到,服务器安全国标属于技术标准的范畴。在此基础上,有关服务器安全的产品检测、认证标准也正在进行中。目前,浪潮正会同公安部第三研究所来共同起草这一标准,并有望在2008年正式出台。这样,测评机构对于技术标准中注明的技术规定,就有了明确的对应国标来指导测评,完成了从建设到最终测评的闭环。
细分产品线或将涌现
随着服务器安全国标的落实,原有的服务器产品线很可能贯以不同安全级别,推出细分的产品。刘刚认为,具备细分类别服务器的厂商将在经过相关部门检测之后,以持有安全认证证书的方式指定型号或产品系列,专门用于满足搭建三级以上的信息系统。但是无论如何,服务器细分市场的出现还只是行业预测,只有当市场需求量达到一定的量级时,才有可能真正实现。
联想方面的起草代表谢军也表明了类似的观点,他进一步表示,针对安全等级要求较高的特别客户进行一整套方案定制的做法将更为可行,这样的模式将优先于分级服务器的出现。同时,对于不能通过设备采购达到指定安全级别所要求的用户来说,还可以采用补充的软硬件来实现安全等级加固,就如同给操作系统打补丁一样。而这种补充采购也将引出新的技术方向,并有望成为厂商新的利润增长点。
中国信息安全国标的进阶
政策制定
2003年9月,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)颁布,提出要在5年内建设中国信息安全保障体系,规定基础性和支撑性的工作一共是八项,其中较重要的一项是等级保护制度。
2004年,《关于信息安全等级保护工作的实施意见》(公通字[2007]66号)出台,把等级保护确认为国家信息安全的基本制度和根本方法,把等级保护提到一个新的高度,确定了等级保护的实施方法、原则分工和计划等。
试点阶段
2005年,公安部出台了等级保护规范;2006年,对等级保护制度进行了重点试点工作;2006年,信息安全管理规范的试点工作也基本完成。
2005年灾难备份标准出台,2006年在中国的基础性行业,如金融、电信、民航等,积极探索灾备和业务连续性模式有了明确的结果,2007年在更广泛的领域得到了推广。
2006年6月,中国信息安全认证中心正式获准成立。至此,我国信息安全认证认可体系的建设构架基本形成,工作机制基本确定,对信息安全产品实施统一认证的条件基本准备就绪,标志着我国信息安全认证认可体系建设迈出了重要步伐。
落实阶段
2007年,《信息安全等级保护管理办法》(公通字[2007]43号)出台。
2007年,《信息安全技术·服务器安全技术要求》发布并实施,为国家信息安全等级保护制度的顺利推广和全面落实建立起技术支撑体系。
2008年,《信息安全技术·服务器安全技术要求》将被作为篮本,用于制定并出台服务器安全检测认证标准。
|